Retningslinjer for å avdekke sårbarheter

Sist oppdatert 20. mars 2025

Den engelske og den tyske versjonen av dette dokumentet er juridisk bindende. Oversettelser til andre språk er kun til informasjonsformål.

Vi tar sikkerheten til systemene våre på alvor, og vi verdsetter sikkerhetsfellesskapet. Ved å avdekke sikkerhetssårbarheter kan vi forbedre og beskytte brukernes sikkerhet og personvern.

Retningslinjer

Vi krever at alle researchere:

  • gjør alt for å unngå brudd på personvernet, forringe brukeropplevelsen, skape forstyrrelser i produksjonssystemer og ødelegge data under sikkerhetstesting,
  • utfører research kun innenfor det omfanget som er angitt nedenfor,
  • bruker de identifiserte kommunikasjonskanalene for å rapportere sårbarheter til oss,
  • holder informasjon om eventuelle oppdagede sårbarheter konfidensiell mellom seg selv og Skillhabit inntil vi har hatt 90 dager på oss til å løse problemet.

Hvis du følger disse retningslinjene når du rapporterer et problem til oss, forplikter vi oss til å:

  • ikke forfølge eller støtte rettslige krav knyttet til din research,
  • samarbeide med deg for å forstå og løse problemet raskt (inkludert en første bekreftelse av rapporten innen 72 timer etter innsending),
  • anerkjenne ditt bidrag i vår Security Researcher Hall of Fame (hvis du er den første som rapporterer problemet) og lage en kode eller utføre en konfigurasjonsendring basert på problemet.

Omfang

skillhabit.com

Utenfor omfanget

Alle tjenester som hostes av tredjepartsleverandører og -tjenester, er ekskludert fra omfanget. Disse tjenestene inkluderer:

AppSentry

BunnyCDN

Simple Analytics

RapidMail

Graylog

Nets (DIBS)

Stripe

Av hensyn til sikkerheten til våre brukere, ansatte, internett for øvrig og deg som sikkerhetsresearcher, er følgende testtyper ekskludert fra omfanget:

  • resultater fra fysisk testing, f.eks. tilgang til kontorer (f.eks. åpne dører, uautorisert adgang),
  • resultater som primært er oppnådd gjennom sosial manipulasjon (f.eks. phishing, vishing),
  • resultater fra applikasjoner eller systemer som ikke er oppført i avsnittet "Omfang",
  • UI- og UX-bugs og stavefeil,
  • sårbarheter på nettverksnivå, f.eks. Denial of Service (DoS/DDoS).

Opplysninger vi ikke ønsker å motta:

  • personlig identifiserbar informasjon (PII),
  • opplysninger om kredittkorteiere.

Slik rapporterer du en sikkerhetssårbarhet

Hvis du tror du har funnet en sikkerhetssårbarhet i våre produkter eller plattformer, send en e-post til security@skillhabit.com. Vennligst inkluder følgende detaljer i rapporten:

  • beskrivelse av hvor problemet finnes og dets mulige påvirkning på sårbarheten,
  • en detaljert beskrivelse av trinnene som kreves for å reprodusere sårbarheten (POC-skript, skjermbilder og komprimerte skjermbilder er nyttige for oss),
  • ditt navn/dekknavn og en lenke, slik at vi kan innlemme deg i vår Hall of Fame.

Vil du vite mer om våre løsninger?

La oss møtes.
Bestill et møte med oss

Abonner på vårt nyhetsbrev for å få de siste oppdateringene fra oss

Takk for at du tok kontakt!
Vi snakkes snart.
Oops! Noe gikk galt under innsending av skjemaet.
Bestill en demo

Bestill en demo

Takk for at du tok kontakt!
Vi snakkes snart.
Oops! Noe gikk galt under innsending av skjemaet.